ISec Code of Conduct Internal information Informations- säkerhet Ditt ansvar!
ISec Code of Conduct Informationssäkerhet Scanias verksamhet är beroende av att information är tillgänglig och hanteras på ett korrekt och säkert sätt. Fel i eller otillåtna ändringar av information kan allvarligt skada vår service gentemot våra kunder. Avslöjande av framtida produkter och lösningar och avbrott i informationsprocesser kan skada vår målsättning att vara det ledande företaget i vår bransch. För att skydda Scanias information är var och en som arbetar med eller använder Scanias information eller IT-system ansvariga för att känna till och följa Scanias ISec Code of Conduct. Per Hallberg Executive Vice President Research and Development, Purchasing
2-3 Vad är informationssäkerhet? Syftet med informationssäkerhet är att förhindra att information hamnar i orätta händer, att se till att den är tillgänglig när den behövs och att inga obehöriga ändringar görs. Information kan vara tryckt eller skriven, elektronisk eller muntlig. Olika typer av information måste hanteras och skyddas på olika sätt. Precis som otillräcklig säkerhet kan leda till betydande risker kan en överdriven säkerhetsnivå göra det svårt att hantera informationen och leda till onödiga kostnader. Information betraktas som konfidentiell när en eventuell skada kan leda till negativ påverkan på Scania. Lagar och avtal kan också påverka skyddet av information, t.ex. den personliga integriteten. Exempel på konfidentiell information är information som kan påverka aktiekursen, aggregerade redovisningsuppgifter, nya produkter/ design/forskning, anbud/avtal/prislistor och priser, kvalitetsrapporter, känsliga personuppgifter (kunder och anställda) och lösenord. För en mer komplett lista över olika typer av konfidentiell information, kontakta din närmaste chef eller din informationssäkerhetskoordinator. ISec Code of Conduct är ett utdrag av våra viktigaste regler. Om du vill veta mer om informationssäkerhet på Scania, besök ISecs hemsida på InLine/SAIL.
ISec Code of Conduct Informationssäkerhet Scanias Informationssäkerhetspolicy: Som anställd är du personligen ansvarig för att skydda den information du hanterar mot förlust, förfalskning och/eller felaktig användning. Du är uppmärksam på och följer Scanias informationssäkerhets(isec)-standarder i ditt arbete och gör informationssäkerhet till en del av ditt dagliga arbete. Du rapporterar misstänkta omständigheter och brister omedelbart, är medveten om att Scania följer upp åtkomst till information, och att överträdelse av vår informationssäkerhetspolicy kan leda till disciplinära åtgärder. Som Business Manager ser du till att Scanias ISec-standarder och gällande lagstiftning efterlevs inom ditt ansvarsområde. Som System Manager ser du till att dina IT-system är konstruerade och hanteras i enlighet med Scanias ISec-standarder och gällande lagstiftning. Läs hela policyn på InLine/SAIL Informationssäkerhet på Scania.
4-5 ISec Code of Conduct 1. Tystnadsplikt 2. Sekretessklassificering 3. Hantering av information 4. Lösenord och PIN-koder 5. Internet och sociala nätverk 6. E-post 7. Ny programvara och utrustning 8. Skydd av datorer och nätverk 9. Tillträde och fotografering 10. Säkerhetsincidenter 11. Kontroll och uppföljning
ISec Code of Conduct Informationssäkerhet 1. Tystnadsplikt Respektera ditt anställningskontrakt/avtal och gör dig införstådd med vad tystnadsplikten innebär: Ömsesidig lojalitet och ömsesidigt förtroende mellan Scania och alla anställda. Som anställd eller konsult¹ får du inte avslöja något av konfidentiell eller hemlig natur angående Scanias verksamhet eller övriga förhållanden. Anställda och konsulter 1 är skyldiga att följa Scanias säkerhetsregler. ¹) Inte anställd av Scania. 1
6-7 2. Sekretessklassificering Du klassificerar och märker din information baserat på de skador som uppstår om information hanteras felaktigt. Tillämpa Scanias sekretessnivåer: Public Internal Confidential Secret Document type/dokumenttyp INSTRUCTION Title/Rubrik Märk dina dokument med rätt klassificering. Confidentiality classification File name/filnamn Hantera informationen enligt gjord sekretessklassificering. Approved by/godkänt av (tjänsteställebeteckning namn) Date/Datum Info class/infoklass VK Fredrik Sjöblom 2010-06-01 Internal Issued by/utfärdat av (tjänsteställebeteckning namn telefon) Issue/Utgåva Page/Sida VK Marika Taavo 80465 2.2 1(1) To/Till (tjänsteställebeteckning namn) For information/för information (tjänsteställebeteckning namn). Hantering och skydd Internal Confidential Förvara/lagra filer På kontoret/skrivbordet Ok Låst skåp Delade kataloger Ok Kontrollerad åtkomst, Spårbarhet på individ. Bärbar dator/övrig bärbar utrustning Krypterad bärbar dator/ok Krypterad Utanför Scania/utrustning som inte tillhör Scania Godkänns av närmaste chef Godkänns av informationsägaren. Riskanalys ska utföras. Utskrift Tillåtet på nätverksskivare Tillåtet på övervakad lokal skrivare eller övervakad nätverksskrivare/säker utskrift. Kopiera och Tillåtet Beslutas av informationsägaren vidarebefordra Destruktion Inga krav Godkänd rutin eller utrustning (t ex strimla, bränna, sekretessbehållare). Read the whole Quick guide on InLine/SAIL Information Security at Scania. Läs hela lathunden om sekretessklassificering på InLine/SAIL Information Security at Scania. STD10000-8
ISec Code of Conduct Informationssäkerhet 3. Hantering av information Följ lagar som berör skydd av information samt föreskrifter om personlig integritet. Det är inte tillåtet att försöka få åtkomst till information och system som man inte är behörig till. Lås din dator (Ctrl+Alt+Delete) när du lämnar din arbetsplats. Konfidentiella filer ska lagras åtkomstskyddade på Scanias nätverk. Skicka inte konfidentiell information via e-post utan Scania-kryptering. Utförsel och lagring av konfidentiell information utanför Scanias nätverk måste godkännas av informationsägaren. Säkerställ att dina externa kontakter är bundna av ett sekretessavtal innan du vidarebefordrar information. Konfidentiell information på bärbara enheter (t.ex. USB-minnen) ska lagras krypterad. Diskutera och hantera inte konfidentiell information på allmänna platser.
8-9 Förvara konfidentiell information inlåst under raster och när du lämnar kontoret. Lämna inget material i skrivare, kopiatorer och faxar. Gör dig av med dokument och datamedia på ett säkert sätt.
ISec Code of Conduct Informationssäkerhet 4. Lösenord och PIN-koder Ditt lösenord är personligt och du är ansvarig för vad som sker i systemen efter inloggning. Lämna aldrig ut ditt lösenord till någon. Byt lösenordet omedelbart om du misstänker att någon kan ha kommit på det. Lösenordet ska bytas minst var tredje månad. Använd svårgissade lösenord och PIN-koder. Till exempel: Går bussen till Södertälje 08.15? GbtS0815? g Förvara dina lösenord och koder som värdehandlingar. Använd inte ditt användar-id eller lösenord från Scania i system utanför Scania.
10-11
ISec Code of Conduct Informationssäkerhet 5. Internet och sociala nätverk Använd Internet i första hand för dina arbetsuppgifter och för att följa Scania online. Tänk på att allt du gör på Internet kan spåras tillbaka till Scania. Privat surfning i en begränsad omfattning är tillåten så länge det inte påverkar ditt arbete. Utförsel och lagring av konfidentiell information utanför Scanias nätverk måste godkännas av informationsägaren. Enbart utpekade personer får agera som talespersoner för Scania på Internet. Att delta i konversationer online är tillåtet, förutsatt att du agerar på ett respektfullt sätt. Du får inte söka, hämta eller spara information som är olaglig eller stötande. Var medveten om att Internetanvändning av säkerhetsskäl övervakas av Scania.
12-13
ISec Code of Conduct Informationssäkerhet
14-15 6. E-post Använd e-post i första hand för dina arbetsuppgifter. Privat e-post i en begränsad omfattning är tillåten och ska då sparas i en separat mapp för att separeras från arbetsmaterial. Undvik att skicka e-post med bilagor använd länkar. Skicka inte konfidentiell information via e-post utan Scaniakryptering. Enbart Scanias e-postadresser får användas för att skicka Scaniainformation. E-post får inte automatiskt vidarebefordras till en privat e-postadress. Skicka inte e-post som kan uppfattas som stötande. Vidarebefordra aldrig e-postmeddelanden till hela företaget, inte ens när det gäller allvarliga varningar.
ISec Code of Conduct Informationssäkerhet 7. Ny programvara och utrustning Köp alltid utrustning och programvara via kanaler godkända av Scania. All installation av programvaror måste gå genom den lokala IT-samordnaren för godkännande och säker installation. Använd bara godkänd och licensierad programvara.
16-17 8. Skydd av datorer och nätverk Anslut bara Scania-godkänd utrustning till nätverket. Logga ut från din dator varje dag och stäng av datorn när du går för helg och semester. Ändra aldrig i datorns säkerhetsinställningar. Låna inte ut din dator till obehöriga personer. Skydda din bärbara utrustning med lösenord eller PIN-kod. Lås fast din bärbara dator med ett vajerlås eller placera den i ett låst skåp. Lämna inte bärbar datorutrustning obevakad eller åtkomlig (t.ex. i bilen, på hotellrum).
ISec Code of Conduct Informationssäkerhet 9. Tillträde och fotografering Släpp inte in personer som är obehöriga. Tillträde till lokaler och utrymmen som innehåller konfidentiell eller hemlig information ska godkännas av behörig besöksmottagare (verksamhetschef eller representant för denna). Var vaksam på personer som du inte känner igen. Fråga vem som söks och om du kan hjälpa dem. Eskortera dina gäster och se till att de bär sin besöksbricka. Bär ditt eget ID-kort synligt. Inom Scanias lokaler råder ett generellt foto- och filmförbud.
18-19 10. Säkerhetsincidenter Om din dator beter sig misstänkt, rapportera omedelbart detta till IT-supporten. Rapportera alla säkerhetsincidenter som stöld, förlust osv. till din chef och/eller lokal säkerhetskontaktperson. Rapportera även misstänkta omständigheter och säkerhetsöverträdelser till din chef och/eller säkerhetskontaktperson. 11. Kontroll och uppföljning Scania övervakar användningen av IT-resurser och information i syfte att säkerställa att Scanias ISec Code of Conduct följs. Det innebär bland annat övervakning av: a) Internet-aktivitet och e-posttrafik b) att enbart godkänd programvara är installerad c) att enbart arbetsrelaterad information är lagrad d) åtkomst till känslig information Övervakning av användares aktiviteter utförs i enlighet med lokala lagar. Brott mot lagar och Scanias regler kan leda till att en varning tilldelas och i sista hand till att anställningen/uppdraget avslutas.
Document responsible: Corporate IT / 159 8555 / HSG Graphical Production 2011 Södertälje